準備

インシデントへの準備は、タイムリーかつ効果的なインシデント対応にとって重要です。準備は次の 3 つの分野にわたって行われます。

• 人員: セキュリティインシデントに備えて人員を準備するには、インシデント対応に関連するステークホルダーを特定し、インシデント対応とクラウド技術に関するトレーニングを行う必要があります。

• プロセス: セキュリティインシデントに備えてプロセスを準備するには、アーキテクチャの文書化、徹底的なインシデント対応計画の策定、セキュリティイベントへの一貫した対応のためのプレイブックの作成が必要です。

• テクノロジー: セキュリティインシデントに備えてテクノロジーを準備するには、アクセスの設定、必要なログの集約と監視、効果的なアラートメカニズムの実装、対応と調査機能の開発が必要です。

これらの各分野は、効果的なインシデント対応にとって等しく重要です。3 つすべてが揃わなければ、インシデント対応プログラムは完全でも効果的でもありません。インシデントに備えるには、人員、プロセス、テクノロジーを緊密に連携して準備する必要があります。

ベストプラクティス

• SEC10-BP01 重要な人員と外部リソースを特定する:
• SEC10-BP02 インシデント管理計画を作成する
• SEC10-BP03 フォレンジック機能を備える:
• SEC10-BP04 セキュリティインシデント対応プレイブックを作成し、テストする
• SEC10-BP05 アクセスを事前プロビジョニングする
• SEC10-BP06 ツールを事前デプロイする
• SEC10-BP07 シミュレーション行う